Практические действия по защите Windows 2000 Server и Active Directory Дмитрий Вишняков

Безопасность как бизнес-процесс Политика безопасности Обеспечение безопасности Контроль и реагирование Управление и тестирование Модернизация

Политика безопасности Анализ угроз Управление рисками ТехнологияПроцедурыСтраховка КонфиденциальностьЦелостностьДоступность Защита Обнаружение Корректировка Операции и поддержка Приобретение Исследования Дизайн и внедрение Интеграция Тестирование Сертификация Анализ уязвимостей Обнаружение «вредного»кода и вторжений Аудит и мониторинг Реакция Сортировка Редизайн Повторная сертификация Обучение и тренировка

Руководство к действию «Security Operations Guide for Microsoft Windows 2000 Server» «Security Operations Guide for Microsoft Windows 2000 Server» –Определение и анализ рисков –Управление системой безопасности средствами групповых политик –Защита серверов –Управление исправлениями –Аудит и обнаружение вторжений –Служба реагирования Электронная версия книги и файлы доступны в TechNet Электронная версия книги и файлы доступны в TechNet – asp asphttp:// asp

Групповая политика Документ-шаблон определенного формата, содержащий параметры, которые должны быть внесены в реестр компьютера Документ-шаблон определенного формата, содержащий параметры, которые должны быть внесены в реестр компьютера –Политики для пользователя –Политики для машины Задачи, решаемые с помощью ГП Задачи, решаемые с помощью ГП –Установление параметров безопасности –Установление настроек рабочих станций и серверов –Инсталляция приложений на рабочие станции Уровни применения ГП Уровни применения ГП –Сайт, Домен, Организационное подразделение

Политика домена Применение и наследование Локальная политика Политики родительских ОП Политика своего ОП

Шаблоны политик Параметры безопасности Параметры безопасности –Account Policy –Audit Policy –User Rights –Security Options –Event Log –Restricted Groups –System Services –Registry –File System Basicwks.infBasicsv.infBasicdc.infSecuredc.infSecurews.infHisecdc.infHisecws.infBasicwks.infBasicsv.infBasicdc.infSecuredc.infSecurews.infHisecdc.infHisecws.inf

Необходимые условия для нормальной работы ГП Серверы DNS Серверы DNS –На контроллерах домена Утилита dcdiag /v Утилита dcdiag /v Утилита netdiag /v Утилита netdiag /v Перезапуск сервиса Net Logon Перезапуск сервиса Net Logon –%SystemRoot%\System32\Config\netlogon.dns –На серверах Утилита nslookup Утилита nslookup Репликация Active Directory Репликация Active Directory –Утилиты repadmin, replmon

Необходимые условия для нормальной работы ГП Синхронизация времени Синхронизация времени –Необходима для работы Kerberos –Служба W32Time SNTP (RFC 1769) SNTP (RFC 1769) –Все серверы и рабочие станции домена синхронизируют свое время с контроллерами –Контроллеры домена синхронизируют свое время с PDC Emulator-ом своего домена –PDC Emulator-ы всех доменов синхронизируют свое время с PDC Emulator-ом корневого домена –PDC Emulator корневого домена нужно синхронизировать с внешним сервером SNTP

Контроль и отладка ГП Успешное применение политик Успешное применение политик –Event ID: 1704, SourceID: SceCli Local Security Policy MMC Local Security Policy MMC –Effective Settings Инструмент Secedit Инструмент Secedit Утилита Gpresult Утилита Gpresult Утилита GpoTool Утилита GpoTool

Политики Домена Политика паролей Политика паролей Параметр По умолчанию Рекомендация Enforce password history Помнить 1 пароль Помнить 24 пароля Maximum password age 42 дня Minimum password age 0 дней 2 дня Minimum password length 0 символов 8 символов Password must meet complexity requirementsDisabledEnabled

Политики Домена Политика блокировки учетной записи Политика блокировки учетной записи Параметр По умолчанию Рекомендация Account Lockout Duration Not Defined 30 минут Account Lockout Threshold0 5 попыток Reset Account Lockout after Not Defined 30 минут

Baseline Policy Усиленная политика – расширение шаблона hisecws.inf Усиленная политика – расширение шаблона hisecws.inf –Дополнительные настройки в реестре –Конфигурация сервисов –Усиленные ограничения на файлы –Расширенная конфигурация аудита Применяется ко всем серверам из ОП Member Servers Применяется ко всем серверам из ОП Member Servers

Baseline Policy - аудит Ограничения для журналов Ограничения для журналов –10 Мб –Не переписывать события Аудит успешных и неуспешных событий Аудит успешных и неуспешных событий –Регистрация пользователя, управление учетными записями, доступ к объектам, изменение политик, системные события Аудит неуспешных событий Аудит неуспешных событий –Доступ к службе каталогов и использование привилегий

Baseline Policy Системные параметры Системные параметры –Очищать файл подкачки при выключении системы –Цифровая подпись коммуникаций между клиентами и серверами –При невозможности записать сообщения в журнал безопасности немедленно завершить работу Запрет на анонимные подключения Запрет на анонимные подключения Отключена аутентификация LM и NTLM Отключена аутентификация LM и NTLM –Разрешен только NTLM v 2 Отключено кэширование регистрации пользователей Отключено кэширование регистрации пользователей

Защита стека TCP/IP Параметры реестра для TCP/IP (Q315669) Параметры реестра для TCP/IP (Q315669) –EnableICMPRedirect – 0 –EnableSecurityFilters – 1 –SynAttackProtect – 2 –EnableDeadGWDetect – 0 –EnablePMTUDiscovery – 0 –KeepAliveTime – 300,000 –DisableIPSourceRouting – 2 –TcpMaxConnectResponseRetransmissions – 2 –TcpMaxDataRetransmissions – 3 –NoNameReleaseOnDemand – 1 –PerformRouterDiscovery - 0 –TcpMaxPortsExhausted – 5

Другие параметры Параметры реестра для Windows Sockets (Afd.sys) (Q142641) Параметры реестра для Windows Sockets (Afd.sys) (Q142641) –EnableDynamicBacklog - 1 –MinimumBacklog - 20 –MaximumBacklog –DynamicBacklogGrowthDelta – 10 Отключено создание Lmhash Отключено создание Lmhash –Service Pack 2 Отключена авто-генерация имен файлов в формате 8.3 Отключена авто-генерация имен файлов в формате 8.3 Отключен Autorun Отключен Autorun

Необходимые сервисы (automatic) DHCP Client DHCP Client Distributed Link Tracking Distributed Link Tracking DNS Client DNS Client Event Log Event Log Logical Disk Manager Logical Disk Manager Netlogon Netlogon Plug and Play Plug and Play Protected Storage Protected Storage RPC RPC Remote Registry Remote Registry Security Accounts Manager Security Accounts Manager Server Server System Event Notification System Event Notification TCP/IP NetBIOS Helper TCP/IP NetBIOS Helper Windows Time Windows Time Workstation Workstation

Необходимые сервисы (manual) COM+ Event Services COM+ Event Services Logical Disk Manager Administrative Service Logical Disk Manager Administrative Service Network Connections Network Connections Performance Logs and Alerts Performance Logs and Alerts Windows Management Instrumentation Driver Windows Management Instrumentation Driver

Базовая политика для контроллеров домена Основана на базовой политике для серверов Основана на базовой политике для серверов Добавлены сервисы Добавлены сервисы –Distributed File System –DNS Server –File Replication –Kerberos Key Distribution Center –NTLM Security Support Provider –RPC Locator Отключены сервисы – утилита DCDiag выдаст сообщение об ошибке Отключены сервисы – утилита DCDiag выдаст сообщение об ошибке –Simple Mail Transport Protocol (SMTP) –Intersite Messaging –IIS Admin Service –Distributed Link Tracking Server Service

Политики для серверных ролей Представляют собой инкрементальные дополнения к политике baseline policy Представляют собой инкрементальные дополнения к политике baseline policy Выделенные роли серверов Выделенные роли серверов –Сервер приложений Политика изначально соответствует базовой политике для серверов Политика изначально соответствует базовой политике для серверов Для конкретного приложения нужно индивидуально вносить изменения Для конкретного приложения нужно индивидуально вносить изменения –Сервер файлов и печати Включен сервис Spooler Включен сервис Spooler Отключен параметр Digitally sign client communication Отключен параметр Digitally sign client communication –Сервер инфраструктуры Включены сервисы DHCPServer, DNS, NTLMSSP, WINS Включены сервисы DHCPServer, DNS, NTLMSSP, WINS –Сервер IIS

Сервер IIS Включены сервисы Включены сервисы –IISAdmin –W3SVC Инструмент IISLockdown Инструмент IISLockdown –Блокировка файлов –Отключение служб и компонент –URL Scan –Удаление ненужных ISAPI script mappings –Удаление ненужных папок –Модификация списков контроля доступа Дополнительные операции Дополнительные операции –Отключение учетной записи IUSR_computername –Установка фильтров IPSecurity

Управление исправлениями Анализ системы и обнаружение неустановленных исправлений Планирование установки исправления и процедуры отката Тестирование Установка исправления Требуются новые исправления? Мониторинг производственных серверов Проблема решена? Сервер работает нормально? Продолжение процесса Сообщение в Microsoft Выполнение отката Нет Да Нет Да Нет

Инструменты Hfnetchk Hfnetchk –Утилита командной строки, проверяющая установленные исправления –Информация из файла MSSecure.xml –Скрипты Hfnetchk.cmd и Movelog.vbs Microsoft Baseline Security Analyzer Microsoft Baseline Security Analyzer –Графический инструмент для анализа конфигурации параметров безопасности серверов и рабочих станций Доставка и установка исправлений Доставка и установка исправлений Windows Update Windows Update Software Update Services (SUS) Software Update Services (SUS) SMS Value Pack SMS Value Pack

Анализ по спискам серверов

Аудит Регистрация успешных и неуспешных действий Регистрация успешных и неуспешных действий –Регистрация в системе –Управление учетной записью –Доступ к службе каталогов –Доступ к объекту –Использование привилегий –Изменение политики –Исполнение процессов и системные события Включается в локальной (групповой) политике аудита Включается в локальной (групповой) политике аудита Журнал безопасности Журнал безопасности

Защита журналов Параметры хранения, перезаписи и сопровождения журналов в Групповых политиках Параметры хранения, перезаписи и сопровождения журналов в Групповых политиках –Очень важна настройка поведения системы при переполнении журнала безопасности Запрет доступа к журналам для гостевых пользователей Запрет доступа к журналам для гостевых пользователей Аудит как успешных так и неуспешных системных событий Аудит как успешных так и неуспешных системных событий –Для обнаружения попыток физической модификации журналов Строгие ограничения для пользователей, имеющих права работать с журналами Строгие ограничения для пользователей, имеющих права работать с журналами

10 законов безопасности компьютеров 10. Если плохой парень может запускать свои программы на Вашем компьютере – это больше не Ваш компьютер. 9. Если плохой парень может изменить настройки операционной системы на Вашем компьютере – это больше не Ваш компьютер. 8. Если плохой парень имеет неограниченный физический доступ к Вашему компьютеру – это больше не Ваш компьютер. 7. Если Вы разрешаете плохому парню загружать исполняемые файлы на Ваш Веб-сайт – это больше не Ваш Веб-сайт. 6. Слабые пароли сводят на нет сильную систему защиты.

10 законов безопасности компьютеров 5. Машина защищена ровно настолько, насколько Вы уверены в своем администраторе. 4. Зашифрованные данные защищены ровно настолько, насколько защищен ключ шифрования. 3. Устаревший антивирусный сканер не намного лучше, чем отсутствие сканера вообще. 2. Абсолютной анонимности практически не бывает, ни в реальной жизни, ни в Интернете. 1. Технологии – не панацея.